Oracle安全實(shí)踐

內(nèi)容概要

隨著計(jì)算機(jī)和信息技術(shù)的迅速發(fā)展，信息安全日益引起人們的重視，而數(shù)據(jù)庫安全是保證信息安全的重要環(huán)節(jié)?！　”緯荚趧?chuàng)建實(shí)踐程序來保證Oracle數(shù)據(jù)庫安全，深入討論了文件系統(tǒng)、TNS偵聽、管理員PUBLIC權(quán)限、口令控制，詳細(xì)介紹了如何管理默認(rèn)賬戶、監(jiān)測(cè)數(shù)據(jù)庫運(yùn)行、制定安全計(jì)劃等內(nèi)容。適合與數(shù)據(jù)庫安全、審計(jì)、信息安全專業(yè)或領(lǐng)域的相關(guān)人員閱讀。

作者簡(jiǎn)介

Josh Shaul，1997年進(jìn)入safeNet公司，開始安全領(lǐng)域的工作，參與本行業(yè)第一塊完整的IPsec加速器芯片的研發(fā)工作。在擔(dān)任SafeNet開發(fā)人員的5年里，Josh為廣泛范圍的應(yīng)用程序進(jìn)行設(shè)計(jì)、開發(fā)和增強(qiáng)SafeNet的嵌入式安全解決方案。在最近的4年里，Josh主要關(guān)注于安裝工程，幫助公司在各種網(wǎng)絡(luò)設(shè)施、芯片系統(tǒng)（SoCs）和處理平臺(tái)上部署安全軟件及硬件。他是安全協(xié)議和標(biāo)準(zhǔn)、可信性計(jì)算及應(yīng)用程序等級(jí)安全方面的專家。最近，Josh專注于數(shù)據(jù)庫安全，幫助大企業(yè)研發(fā)恰當(dāng)?shù)纳钊朔婪兜牟呗詠肀ＷC敏感數(shù)據(jù)源頭的安全。Josh目前在Application Sectlrity公司負(fù)責(zé)Worldwide Sys—tems Engirleering項(xiàng)目。

書籍目錄

致謝作者簡(jiǎn)介技術(shù)編輯第1章  Oracle安全概述  引言  Oracle安全特性的歷史簡(jiǎn)介    權(quán)限控制    網(wǎng)絡(luò)    審計(jì)    口令管理    數(shù)據(jù)分區(qū)    Oracle 10g和更高版本    管理環(huán)境驅(qū)動(dòng)的數(shù)據(jù)庫安全  主要的數(shù)據(jù)竊取事件    CardSysteins SOlutions——2005年6月    ChoicePoint——2005年2月    TJX——2007年1月    退伍軍人事務(wù)部——2006年5月  漸進(jìn)地保證Oracle安全    對(duì)每個(gè)種類數(shù)據(jù)庫系統(tǒng)合適的安全  小結(jié)  快速解決方案  常見問題第2章  文件系統(tǒng)  引言  了解文件    數(shù)據(jù)    日志    軟件  檢查推薦的許可    操作系統(tǒng)基礎(chǔ)    軟件許可    非軟件許可  管理變更  小結(jié)  快速解決方案  常見問題第3章  TNS監(jiān)聽器安全  引言  TNS監(jiān)聽器介紹    監(jiān)聽器組件    監(jiān)聽器命令    Oracle 10g監(jiān)聽器變更    監(jiān)聽器可能是攻擊缺陷的主要來源  由于設(shè)計(jì)導(dǎo)致的監(jiān)聽器缺陷    不存在賬號(hào)停用    以明文傳輸?shù)目诹?   使用口令或者哈希口令的驗(yàn)證  通過應(yīng)用Oracle補(bǔ)丁集和CPU來修補(bǔ)監(jiān)聽器缺陷    監(jiān)聽器DoS攻擊    監(jiān)聽器緩存區(qū)溢出攻擊  保證監(jiān)聽器配置安全    監(jiān)聽器安全/監(jiān)聽器口令    ADMIN—RESTRICTIONS    監(jiān)聽器日志和跟蹤    ExtProc  有效的節(jié)點(diǎn)檢查  小結(jié)  快速解決方案  常見問題第4章  管理默認(rèn)賬號(hào)  引言  從9i到10g的Oracle默認(rèn)賬號(hào)角色    默認(rèn)賬號(hào)  鎖定賬號(hào)和中止默認(rèn)口令  配置強(qiáng)口令  解除賬號(hào)鎖定和配置強(qiáng)口令    Oracle的哈?？诹钏惴?   定義強(qiáng)口令    配置強(qiáng)口令    自動(dòng)控制鑒別默認(rèn)賬號(hào)的過程    創(chuàng)建自己的默認(rèn)口令掃描腳本    使用一種免費(fèi)可用的默認(rèn)口令掃描器    使用一種商業(yè)化的數(shù)據(jù)庫缺陷掃描器  小結(jié)  快速解決方案  常見問題第5章  PUBLIC特權(quán)  引言  PUBLIC組    簡(jiǎn)單介紹：Oracle特權(quán)和角色    授予PUBLIC的角色  敏感函數(shù)上的默認(rèn)特權(quán)    DBMS RANDOM    UTL—FILE    UTL—HTTP      UTL—SMTP      UTL—TCP  從來不應(yīng)該授予PUBUC的特權(quán)    系統(tǒng)特權(quán)    SYS模式中的對(duì)象特權(quán)    使用一般的意義  小結(jié)  快速解決方案  常見問題第6章  軟件升級(jí)  引言  理解Oracle的軟件補(bǔ)丁思想    安全    成本    平臺(tái)  檢查CPU    評(píng)估風(fēng)險(xiǎn)矩陣    作用于安全顧問  安裝關(guān)鍵的補(bǔ)丁升級(jí)    計(jì)劃    測(cè)試和配置  評(píng)估安全警告  小結(jié)  快速解決方案  常見問題第7章  口令和口令管理第8章  數(shù)據(jù)庫事件監(jiān)測(cè)第9章  執(zhí)行指南

章節(jié)摘錄

第1章 Oracle安全概述引言一位就職于世界上最大的銀行之一的數(shù)據(jù)庫高級(jí)管理人員告訴我，保證Oracle安全的最好方式是“把網(wǎng)線拔掉”……可能他是對(duì)的。事實(shí)上，幾乎對(duì)所有的網(wǎng)絡(luò)應(yīng)用程序來說，這個(gè)結(jié)論是成立的。不幸的是，對(duì)多數(shù)人而言，關(guān)閉數(shù)據(jù)庫是不可行的；我們必須尋找另外的方法來確保系統(tǒng)的安全。新的技術(shù)和服務(wù)為商業(yè)帶來收入，尤其是那些為客戶提供定制信息的系統(tǒng)。這些系統(tǒng)需要頻繁地進(jìn)行存儲(chǔ)、處理及對(duì)個(gè)人數(shù)據(jù)提供訪問。存儲(chǔ)商業(yè)機(jī)密或財(cái)務(wù)信息的系統(tǒng)也是一樣。很多存儲(chǔ)的數(shù)據(jù)是非常敏感的，雖然如此，這些數(shù)據(jù)都必須快速且容易地被訪問。這些構(gòu)成了對(duì)數(shù)據(jù)安全的重大挑戰(zhàn)，也是我們將在本書中自始至終詳細(xì)討論的內(nèi)容。本書的目的是幫助讀者建立針對(duì)Oracle數(shù)據(jù)庫系統(tǒng)的實(shí)用安全方案。我們將創(chuàng)建一種方法來度量和評(píng)價(jià)數(shù)據(jù)庫安全性能，并且提供工具為每個(gè)Oracle數(shù)據(jù)庫創(chuàng)建一張安全性能計(jì)分卡。本書并非一本數(shù)據(jù)庫管理員（DBA）手冊(cè)一差別很大。我們寫作的目的是針對(duì)整個(gè)數(shù)據(jù)庫安全團(tuán)體，不但包括DBA，還包括信息技術(shù)（InformationTechnology，IT）安全人員、審計(jì)人員，甚至信息安全官（ChiefInformationSecurityOfficer，CISO）。目前，Oracle是世界上應(yīng)用最廣泛的數(shù)據(jù)庫管理系統(tǒng)。它幾乎是現(xiàn)存的各個(gè)主要行業(yè)關(guān)鍵系統(tǒng)的核心部件。在金融、醫(yī)療、電信、制造、政府，甚至軍隊(duì)里，數(shù)據(jù)庫和數(shù)據(jù)庫中的數(shù)據(jù)就意味著業(yè)務(wù)的全部。在過去的幾年里，數(shù)據(jù)庫已經(jīng)成為計(jì)算機(jī)頻繁攻擊的對(duì)象。最初，攻擊的主要意圖是造成業(yè)務(wù)的崩潰和在黑客社區(qū)中獲得臭名昭著的效果；伴隨著數(shù)據(jù)庫攻擊行為的不斷增長(zhǎng)，這種情況已發(fā)生了顯著的改變，攻擊者更關(guān)注于從數(shù)據(jù)庫系統(tǒng)中提取敏感的和有價(jià)值的信息，以此謀取金錢利益。如竊取個(gè)人信息進(jìn)行身份欺騙、竊取信用卡口令來隨意消費(fèi)、竊取商業(yè)機(jī)密以期獲得其競(jìng)爭(zhēng)者的回報(bào)，這些都是隱藏在數(shù)據(jù)庫攻擊后面的驅(qū)動(dòng)力。

編輯推薦

《Oracle安全實(shí)踐:來自第三方的關(guān)系型數(shù)據(jù)庫安全指南》為21世紀(jì)信息安全大系叢書之一，由科學(xué)出版社出版。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    Oracle安全實(shí)踐 PDF格式下載

---